Trojaner-Board - Desktopbild überdeckt

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Desktopbild überdeckt (https://www.trojaner-board.de/6209-desktopbild-ueberdeckt.html)

Desktopbild überdeckt

Hallo!
Mein Desktopbild ist überdeckt. Zuerst war dort eine Warnung. Nun ist es weiß.
Wenn ich auf eigenschaften klicke, soll das ein HTML Dokument sein!! Wie kriege ich das weg.
Poste mal mein Editor von Hijackthis:

Logfile of HijackThis v1.98.0
Scan saved at 10:11:54, on 05.07.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AntiVirenKit 2004\AVKService.exe
C:\Programme\AntiVirenKit 2004\AVKWCtl.exe
F:\Programme2\Kasparsky\avpcc.exe
C:\Programme\Dassault Systemes\B11\intel_a\code\bin\CATSysDemon.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\Executive Software\Diskeeper\DkService.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Motherboard Monitor 5\MBM5.EXE
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Chameleon Clock\ChamClock.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\OnlineCounter 2000\OnlineCounter.exe
C:\WINDOWS\notepad.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
F:\Hyjack\HijackThis.exe
C:\Programme\Adobe\Acrobat 5.0\Reader\AcroRd32.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10MT2.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10RN2.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://solar.directwebsearch.net/search.php
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://solar.directwebsearch.net/search.php
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://solar.directwebsearch.net/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://solar.directwebsearch.net/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://solar.directwebsearch.net/search.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://solar.directwebsearch.net/search.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://solar.directwebsearch.net/search.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://solar.directwebsearch.net/search.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://solar.directwebsearch.net/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://solar.directwebsearch.net/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://solar.directwebsearch.net/search.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://solar.directwebsearch.net/search.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://solar.directwebsearch.net/search.php
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - C:\Programme\FreshDevices\FreshDownload\fdcatch.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [MBM 5] "C:\Programme\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C62 Series" /O6 "USB001" /M "Stylus C62"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "F:\Programme2\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [HomeAlarm] C:\Programme\Chameleon Clock\ChamClock.exe
O4 - HKCU\..\Run: [WashAndGo - Cleanup of old Backupfiles] "C:\Programme\Purgatio Pro\Checker.exe /check"
O4 - Startup: OnlineCounter 2002-Autostart.lnk = C:\Programme\OnlineCounter 2000\OnlineCounter-Autostart.exe
O4 - Startup: Registration-InstantCopy.lnk = C:\Programme\InstantCD+DVD\SharedFiles\Pixie\RegTool.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.50.179.54/winsearchie32.ch...searchie32.exe
O16 - DPF: {11111111-1111-1111-1111-111111111123} - ms-its:mhtml:file://C:\ss.MHT!http://213.159.117.236/buka.chm::/hz.exe
O16 - DPF: {11111111-1111-1111-1111-111111113456} - file://c:\info6_s.cab
O16 - DPF: {13112111-1224-1141-1451-111111113533} - file://c:\windows\system32\setup1.exe
O16 - DPF: {737D14F8-4090-11D4-AE0E-0010830243BD} (SysVerChk Control) - file://C:\Programme\AutoCAD 2002 Deu\SysVerChk.ocx
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday-Steuerung) - file://C:\Programme\MDT6\AcDcToday.ocx
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.1) -
O16 - DPF: {CAFEEFAC-0014-0000-0000-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0) -
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://C:\Programme\MDT6\AcPreview.ocx

Danke für Hilfe!!

Hallo and Welcome im TB

Zitat:

Mein Desktopbild ist überdeckt. Zuerst war dort eine Warnung. Nun ist es weiß.

Den Wortlaut der Warnung weißt du nicht mehr ?

e Scan downloaden,updaten und ebenfalls im a. Modus laufen lassen (Häkchen richtig setzen !!)

Zitat:

Auf der Seite (HJT Logfile Auswertung ) besteht die Möglichkeit, erstellte Logfiles von HijackThis automatisch überprüfen zu lassen.

Der Inhalt des Logfiles muss einfach in das Textfeld kopiert werden. Nach einem anschließenden klick auf die Schaltfläche 'Auswerten' wird innerhalb weniger Sekunden eine Auswertung angezeigt.

Dieser Service befindet sich zur Zeit offensichtlich noch im Aufbau und daher können fehlerhafte Meldungen nicht ganz ausgeschlossen werden. Aber mein Eindruck ist, dass dieser Dienst zunehmend optimiert wird.

Zitat:

MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Eventuell veraltet Zeigt die Version des InternetExplorers an. Neuste Version 6.00.2800.1106! Ihre Version (6.00.2600.0000) ist veraltet. Besuchen Sie Windowsupdate um Ihren Browser zu aktualisieren!

UPDATEN bitte !!

Empfehle im abgesicherten Modus zu fixen :

Zitat:

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://solar.directwebsearch.net/search.p
Eventuell Böse Diese Seite könnte böse Sein! Wenn Sie die Seite 'http://solar.directwebsearch.net/search.php ' nicht kennen, sollte der Eintrag entfernt werden.

R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://solar.directwebsearch.net/search.php
Eventuell Böse Diese Seite könnte böse Sein! Wenn Sie die Seite 'http://solar.directwebsearch.net/search.php ' nicht kennen, sollte der Eintrag entfernt werden.

R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://solar.directwebsearch.net/search.p
Eventuell Böse Diese Seite könnte böse Sein! Wenn Sie die Seite 'http://solar.directwebsearch.net/search.php ' nicht kennen, sollte der Eintrag entfernt werden.

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://solar.directwebsearc
Eventuell Böse Diese Seite könnte böse Sein! Wenn Sie die Seite 'http://solar.directwebsearch.net/search.php ' nicht kennen, sollte der Eintrag entfernt werden.

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://solar.directwebsearch.net/s
Eventuell Böse Diese Seite könnte böse Sein! Wenn Sie die Seite 'http://solar.directwebsearch.net/search.php ' nicht kennen, sollte der Eintrag entfernt werden.

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/
Eventuell Böse Diese Seite könnte böse Sein! Wenn Sie die Seite 'http://www.freenet.de/ ' nicht kennen, sollte der Eintrag entfernt werden.

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://solar.directwebsearc
Eventuell Böse Diese Seite könnte böse Sein! Wenn Sie die Seite 'http://solar.directwebsearch.net/search.php ' nicht kennen, sollte der Eintrag entfernt werden.

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://solar.directwebsearch.net/se
Eventuell Böse Diese Seite könnte böse Sein! Wenn Sie die Seite 'http://solar.directwebsearch.net/search.php ' nicht kennen, sollte der Eintrag entfernt werden.

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://solar.directwebsearch.net/s
Eventuell Böse Diese Seite könnte böse Sein! Wenn Sie die Seite 'http://solar.directwebsearch.net/search.php ' nicht kennen, sollte der Eintrag entfernt werden.

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://solar.directwebsearch.net/in
Eventuell Böse Diese Seite könnte böse Sein! Wenn Sie die Seite 'http://solar.directwebsearch.net/index.php ' nicht kennen, sollte der Eintrag entfernt werden.

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://solar.directwebsearch
Eventuell Böse Diese Seite könnte böse Sein! Wenn Sie die Seite 'http://solar.directwebsearch.net/search.php ' nicht kennen, sollte der Eintrag entfernt werden.

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://solar.directwebsearch
Eventuell Böse Diese Seite könnte böse Sein! Wenn Sie die Seite 'http://solar.directwebsearch.net/search.php ' nicht kennen, sollte der Eintrag entfernt werden.

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://solar.directwebsearch
Eventuell Böse Diese Seite könnte böse Sein! Wenn Sie die Seite 'http://solar.directwebsearch.net/search.php ' nicht kennen, sollte der Eintrag entfernt werden.

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://solar.directwebsearch
Eventuell Böse Diese Seite könnte böse Sein! Wenn Sie die Seite 'http://solar.directwebsearch.net/search.php ' nicht kennen, sollte der Eintrag entfernt werden.

O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.50.1
Eventuell Böse Unbekannte ActiveX-Objekte, bzw. ActiveX-Objekte von unbekannten Seiten sollten mit HijackThis gefixt werden. Beinhaltet der Name des ActiveX-Objekts bzw. die angegebene URL Worte wie 'dialer', 'casino', 'free_plugin' etc, sollten diese unbedingt gefixt werden! Prüfen ob Sie diese Seite kennen und ggf. fixen.

O16 - DPF: {11111111-1111-1111-1111-111111111123} - ms-its:mhtml:file://C:\ss.MHT!http://213.159.117
Eventuell Böse Unbekannte ActiveX-Objekte, bzw. ActiveX-Objekte von unbekannten Seiten sollten mit HijackThis gefixt werden. Beinhaltet der Name des ActiveX-Objekts bzw. die angegebene URL Worte wie 'dialer', 'casino', 'free_plugin' etc, sollten diese unbedingt gefixt werden! Prüfen ob Sie diese Seite kennen und ggf. fixen.

O16 - DPF: {11111111-1111-1111-1111-111111113456} - file://c:\info6_s.cab
Eventuell Böse Unbekannte ActiveX-Objekte, bzw. ActiveX-Objekte von unbekannten Seiten sollten mit HijackThis gefixt werden. Beinhaltet der Name des ActiveX-Objekts bzw. die angegebene URL Worte wie 'dialer', 'casino', 'free_plugin' etc, sollten diese unbedingt gefixt werden! Prüfen ob Sie diese Seite kennen und ggf. fixen.

O16 - DPF: {13112111-1224-1141-1451-111111113533} - file://c:\windows\system32\setup1.exe
Eventuell Böse Unbekannte ActiveX-Objekte, bzw. ActiveX-Objekte von unbekannten Seiten sollten mit HijackThis gefixt werden. Beinhaltet der Name des ActiveX-Objekts bzw. die angegebene URL Worte wie 'dialer', 'casino', 'free_plugin' etc, sollten diese unbedingt gefixt werden! Prüfen ob Sie diese Seite kennen und ggf. fixen.

O16 - DPF: {737D14F8-4090-11D4-AE0E-0010830243BD} (SysVerChk Control) - file://C:\Programme\AutoCAD
Eventuell Böse Unbekannte ActiveX-Objekte, bzw. ActiveX-Objekte von unbekannten Seiten sollten mit HijackThis gefixt werden. Beinhaltet der Name des ActiveX-Objekts bzw. die angegebene URL Worte wie 'dialer', 'casino', 'free_plugin' etc, sollten diese unbedingt gefixt werden! Prüfen ob Sie diese Seite kennen und ggf. fixen.

O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday-Steuerung) - file://C:\Programme\MDT6\A
Eventuell Böse Unbekannte ActiveX-Objekte, bzw. ActiveX-Objekte von unbekannten Seiten sollten mit HijackThis gefixt werden. Beinhaltet der Name des ActiveX-Objekts bzw. die angegebene URL Worte wie 'dialer', 'casino', 'free_plugin' etc, sollten diese unbedingt gefixt werden! Prüfen ob Sie diese Seite kennen und ggf. fixen.

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.1) -
Eventuell Böse Unbekannte ActiveX-Objekte, bzw. ActiveX-Objekte von unbekannten Seiten sollten mit HijackThis gefixt werden. Beinhaltet der Name des ActiveX-Objekts bzw. die angegebene URL Worte wie 'dialer', 'casino', 'free_plugin' etc, sollten diese unbedingt gefixt werden! Prüfen ob Sie diese Seite kennen und ggf. fixen.

O16 - DPF: {CAFEEFAC-0014-0000-0000-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0) -
Eventuell Böse Unbekannte ActiveX-Objekte, bzw. ActiveX-Objekte von unbekannten Seiten sollten mit HijackThis gefixt werden. Beinhaltet der Name des ActiveX-Objekts bzw. die angegebene URL Worte wie 'dialer', 'casino', 'free_plugin' etc, sollten diese unbedingt gefixt werden! Prüfen ob Sie diese Seite kennen und ggf. fixen.

O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://C:\Programme\MDT6\A
Eventuell Böse Unbekannte ActiveX-Objekte, bzw. ActiveX-Objekte von unbekannten Seiten sollten mit HijackThis gefixt werden. Beinhaltet der Name des ActiveX-Objekts bzw. die angegebene URL Worte wie 'dialer', 'casino', 'free_plugin' etc, sollten diese unbedingt gefixt werden! Prüfen ob Sie diese Seite kennen und ggf. fixen.

Moin so ein ähnliches Problem habe ich auch . Der Thread ist auch noch offen und ich habe leider noch keine Antwort bekommen . Wenn du irgendwas rausfindest und mir sagen kannst, wie man das Problem lösen kann, dann melde dich bitte bei mir .